IOS-XR ルータおいて Smart License の登録を行うためには、ライセンスの中央集中管理を担う CSSM (tools.cisco.com) だけではなく、ルート認証局 (validation.identrust.com) への疎通性も確保されている必要があります。
これはデフォルトでは Smart License の登録時にルート認証局から CRL (証明書失効リスト) の取得をする必要があるためです。
そのため DNS による名前解決を実施できない環境下においては、下記のいずれかの方法で対処を行う必要があります。
- CSSM と ルート認証局の FQDN に対する IP Address をスタティックに設定する
- CRL のチェックを無効化する
FQDN に対する IP Address をスタティックに設定する方法
CSSM (tools.cisco.com) と ルート認証局 (validation.identrust.com) の IP Address を明示的に指定することで Smart License の登録を行うことが可能です。それぞれの FQDN に対する IP Address は DNS が利用可能な環境から nslookup を実行するなどして確認してください。
< 設定例 >
domain vrf < VRF 名 > ipv4 host tools.cisco.com 173.37.145.8 72.163.4.38
domain vrf < VRF 名 > ipv4 host validation.identrust.com 172.64.148.55
CRL のチェックを無効化する方法
CRL のチェックを無効化することでルート認証局から CRL を取得せずに Smart License の登録が可能です。
そのためルート認証局 (validation.identrust.com) への疎通性がない状態でも登録を行うことができますが、別途 CSSM (tools.cisco.com) への疎通性は確保されている必要があります。
< 設定例 >
crypto ca trustpoint Trustpool
vrf < VRF 名 >
crl optional
!
上記のいずれかの方法が実施されていない状況下においては CRL の取得に失敗したことを示す下記のエラーメッセージが出力されます。
(ただし下記のデバッグコマンドを有効化する必要があります。)
< デバッグコマンド >
debug ssl event
debug ssl error
debug crypto pki message
debug crypto pki error
debug crypto pki transactions
< エラーメッセージ >
RP/0/RP0/CPU0:Mar 3 11:36:59.298 UTC: http_client[150]: %SECURITY-PKI-6-ERR_2_PARAM : Curl Perform failed: Timeout was reached
RP/0/RP0/CPU0:Mar 3 11:36:59.299 UTC: http_client[150]: Failed to retrieve CRL from http://validation.identrust.com/crl/hydrantidcao1.crl.
RP/0/RP0/CPU0:Mar 3 11:36:59.299 UTC: http_client[150]: pki_c3m_get_crl_remote_from_cert: Failed to retrieve CRL from http://validation.identrust.com/crl/hydrantidcao1.crl.
RP/0/RP0/CPU0:Mar 3 11:36:59.299 UTC: http_client[150]: The issuer_cert and the crl_obj count is 1
RP/0/RP0/CPU0:Mar 3 11:36:59.299 UTC: http_client[150]: Error in fetching the issuer cert and CRL.